提升开发安全5大成熟度 跨国企业落地默安“一站式”方案

本文主要是介绍提升开发安全5大成熟度 跨国企业落地默安“一站式”方案,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在数字化转型发展和云原生环境下,各政企单位的业务系统在互联网的暴露面大大增加,一旦上线系统存在漏洞,就很容易被不法分子发现并利用,造成不可估量的损失。

• 2021年12月9日,在国内爆发了“核弹级”漏洞“Apache Log4j2”,由于该漏洞来源于Apache 开源项目,被大量用于业务系统开发,几乎所有的互联网企业都受到影响。

• 2020年12月初,被称为“史上最严重的供应链攻击事件”爆发,包括微软、思科在内的多个世界500强企业和美国国务院、五角大楼等政府机构遭到入侵,波及全球多个国家和地区的 18000 多个用户。

如何在应用程序上线前尽早消灭高危漏洞,从源头上避免安全事故,并满足国内外法律法规的安全要求,是各政企单位亟须解决的难题,而默安科技自主研发的“产品+服务+平台”SDL/DevSecOps全流程方案能够全面解决这一难题。


1  客户介绍

德比软件创立于2002年,是专业从事旅游网络营销系统的技术服务公司,约400名员工分布于达拉斯、上海、北京、伦敦、东京和巴塞罗那等地。德比软件的产品如数据对接服务、数字营销服务、内容服务等为全球酒店业提供解决方案,且拥有全部产品的自主知识产权。目前,德比软件拥有超过全球24万家酒店数据,拥有400+的合作伙伴和450+的全球对接案例,每月处理超过1200万间夜的订单。

 


2  面临的挑战

01开发安全检测力度不够

例如在编码、测试阶段缺少相应的安全检测工具,上线前缺少安全评审、漏洞验证等工作,上线运维阶段缺少持续的风险监测等,导致漏洞发现不够及时和完整。

02开发安全能力仍有提升空间

例如缺少防跨站注入等安全组件,缺乏持续的安全培训和漏洞的及时修复能力,整体抗风险能力亟待提高。

03没有形成统一的开发安全管理规范 

包括开发安全流程整体规范、应用安全设计规范、安全编码规范以及上线安全评审规范等。

04客户上下游的安全需求

 由于业务规模的不断扩大,越来越多的客户也向德比软件提出了前沿性的安全需求,使得德比软件必须在更多领域和更深层面考虑安全问题。

 05云原生环境对安全在业务、管理和部署上的要求

随着德比软件开始将关键业务搬上云端,针对云原生应用程序的体系结构都需要采用自己独特的安全性手段来实现对客户端的策略和控制,德比软件迫切需要一套新的云安全运维和治理手段。


3  默安科技解决方案

默安科技“一站式”开发安全解决方案,将安全要融入到开发的每一个流程之中,不仅不会增加开发的工作量,还可以对开发进行赋能,从根本上解决软件漏洞无法收敛和难以修复的问题。

01全量赋能

(1)提供完整工具链

提供白盒、黑盒、灰盒测试方法,提供默安科技的SAST、DAST、IAST,及SCA工具,覆盖软件开发过程中的编码、测试和上线等关键阶段。

 图  AST(Application Security Test)工具链介绍

(2)全流程知识赋能

默安科技专家对该企业不同岗位中的关键人员开展相应培训,包括安全工具使用培训、各阶段安全能力建设培训、安全意识培训等,并总结运营过程中的问题和经验,引导流程关键人员,实现持续安全的目标。

 

02合规建设

 (1)在应用系统的需求设计阶段

默安科技将数据安全融入前期的威胁建模和安全设计工作中,提出具体的数据应用场景风险和技术控制要求,包括数据存储、传输过程的完整性和保密性等方面的敏感信息安全控制要求。

(2)在编码测试阶段

默安科技的雳鉴IAST遵循个人信息保护法、欧盟GDPR、PCI DSS等法规标准,帮助该企业快速检测应用系统中不合规的个人隐私数据处理行为,迅速定位存在隐私泄露风险的漏洞地址和代码位置,帮助开发人员快速定位和复现问题。

雳鉴IAST还提供详细的风险修复建议,供开发人员参考或提供专业安全服务,协助并指导开发人员完成漏洞修复。

03采用“先试点后推广”,稳妥推进

根据开发项目进度,建立多个试点项目,以实际的安全效果和价值赢得该企业开发团队的信任;同时,默安科技安全专家采用“陪伴式服务”,将工作能力和执行细节融入项目开发流程,项目组人员不用付出额外精力,即可轻松掌握关键的安全控制方法。

04二期开发安全体系针对性优化

默安科技安全专家提供常规的技术服务,参与到该企业的实际运营过程中,以第三视角,帮助其完善和落实前期所制定的开发安全体系,对相关设计文档进行针对性优化。

05EKS环境的安全评估

针对该企业将关键业务迁移上云的安全需求,默安科技安全专家与该企业开发团队密切沟通,通过召开安全需求评审会、多次研究、分析和验证开发安全体系与该企业EKS环境的适应性,为其建立起庞大的云原生安全知识库,有效降低云环境中漏洞发生的概率,提升整体抗风险能力,保证整个开发安全的质量。


4  为客户带来的核心价值

01整体开发安全成熟度的提升

项目开始前,默安科技安全专家经过调研发现该企业在开发安全的管理、设计、执行、验证、运营五个方面都有提升空间。经过两期的开发安全体系建设,该企业在以上各方面实现了巨大的成长。

图  开发安全成熟度五大核心能力

02开发安全全流程体系的落地

   对于漏洞的发现和处置,能做到“安全需求、安全设计、安全编码、安全测试、安全验证、安全上线”等各个环节的及时发现、处置和闭环,跟踪漏洞全生命周期。

   满足国内外监管要求,遵循主要的数据安全法律法规,避免因违规带来的行政处罚。

   大幅提升员工安全意识、关键业务项目组成员的安全开发专业能力。

   具备完善的开发安全管理规范并推动落实。

图 开发安全全流程工作概览

03开发安全体系知识库的实践和积累

 通过长达两年的努力,默安科技安全团队为该企业沉淀了大量实用性技术文档,让安全更好地适应和赋能开发,为该企业规划长期的开发安全建设路线。

04云原生安全体系的创新和验证

默安科技为该企业建立起基于云环境开发的云原生安全防护能力,让该企业在应对安全挑战时更加从容。


5  一路同行,未来可期

作为国内开发安全领域的先行者和领导者,默安科技秉承可持续安全运营理念,注重实际运行效果,致力于成为客户值得信赖的安全伙伴。公司经过两期专业、优质的服务,赢得了德比软件的高度认可,双方保持着长期友好的合作关系。后续,默安科技还将与德比软件展开更广泛的合作,继续为该企业的全流程开发安全赋能。

默安科技“一站式”开发安全解决方案已成功应用于运营商、金融、政务、能源、互联网等多个领域的客户,沉淀了成熟的产品技术和服务模式。随着云计算高速发展带来的对开发运维更高效的要求,未来默安科技愿与客户一起不断探索、实践和创新,将安全更好地融入到不同的开发环境中,持续在开发安全领域创造价值。

这篇关于提升开发安全5大成熟度 跨国企业落地默安“一站式”方案的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/532905

相关文章

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

无人叉车3d激光slam多房间建图定位异常处理方案-墙体画线地图切分方案

墙体画线地图切分方案 针对问题:墙体两侧特征混淆误匹配,导致建图和定位偏差,表现为过门跳变、外月台走歪等 ·解决思路:预期的根治方案IGICP需要较长时间完成上线,先使用切分地图的工程化方案,即墙体两侧切分为不同地图,在某一侧只使用该侧地图进行定位 方案思路 切分原理:切分地图基于关键帧位置,而非点云。 理论基础:光照是直线的,一帧点云必定只能照射到墙的一侧,无法同时照到两侧实践考虑:关

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

高效+灵活,万博智云全球发布AWS无代理跨云容灾方案!

摘要 近日,万博智云推出了基于AWS的无代理跨云容灾解决方案,并与拉丁美洲,中东,亚洲的合作伙伴面向全球开展了联合发布。这一方案以AWS应用环境为基础,将HyperBDR平台的高效、灵活和成本效益优势与无代理功能相结合,为全球企业带来实现了更便捷、经济的数据保护。 一、全球联合发布 9月2日,万博智云CEO Michael Wong在线上平台发布AWS无代理跨云容灾解决方案的阐述视频,介绍了

嵌入式QT开发:构建高效智能的嵌入式系统

摘要: 本文深入探讨了嵌入式 QT 相关的各个方面。从 QT 框架的基础架构和核心概念出发,详细阐述了其在嵌入式环境中的优势与特点。文中分析了嵌入式 QT 的开发环境搭建过程,包括交叉编译工具链的配置等关键步骤。进一步探讨了嵌入式 QT 的界面设计与开发,涵盖了从基本控件的使用到复杂界面布局的构建。同时也深入研究了信号与槽机制在嵌入式系统中的应用,以及嵌入式 QT 与硬件设备的交互,包括输入输出设

OpenHarmony鸿蒙开发( Beta5.0)无感配网详解

1、简介 无感配网是指在设备联网过程中无需输入热点相关账号信息,即可快速实现设备配网,是一种兼顾高效性、可靠性和安全性的配网方式。 2、配网原理 2.1 通信原理 手机和智能设备之间的信息传递,利用特有的NAN协议实现。利用手机和智能设备之间的WiFi 感知订阅、发布能力,实现了数字管家应用和设备之间的发现。在完成设备间的认证和响应后,即可发送相关配网数据。同时还支持与常规Sof

JAVA智听未来一站式有声阅读平台听书系统小程序源码

智听未来,一站式有声阅读平台听书系统 🌟&nbsp;开篇:遇见未来,从“智听”开始 在这个快节奏的时代,你是否渴望在忙碌的间隙,找到一片属于自己的宁静角落?是否梦想着能随时随地,沉浸在知识的海洋,或是故事的奇幻世界里?今天,就让我带你一起探索“智听未来”——这一站式有声阅读平台听书系统,它正悄悄改变着我们的阅读方式,让未来触手可及! 📚&nbsp;第一站:海量资源,应有尽有 走进“智听

活用c4d官方开发文档查询代码

当你问AI助手比如豆包,如何用python禁止掉xpresso标签时候,它会提示到 这时候要用到两个东西。https://developers.maxon.net/论坛搜索和开发文档 比如这里我就在官方找到正确的id描述 然后我就把参数标签换过来

Android平台播放RTSP流的几种方案探究(VLC VS ExoPlayer VS SmartPlayer)

技术背景 好多开发者需要遴选Android平台RTSP直播播放器的时候,不知道如何选的好,本文针对常用的方案,做个大概的说明: 1. 使用VLC for Android VLC Media Player(VLC多媒体播放器),最初命名为VideoLAN客户端,是VideoLAN品牌产品,是VideoLAN计划的多媒体播放器。它支持众多音频与视频解码器及文件格式,并支持DVD影音光盘,VCD影

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。